浅谈我公司对安全应急的响应

0×00 黑客来了

公司对黑客进行的攻击的应急处理还是很欠缺的，发现有安全问题的，往往是客户（也是受害者）因为客户发现自己的数据被更改了，然后投诉到公司说数据什么被恶意更改的问题吧。然后公司的运维人员就查下数据库里面的信息，发现有JS代码（经过特殊处理的js代码）插入到数据库里。（公司一般被XSS攻击的太多了，感觉应急处理太被动了，客户要是第一次肯定觉得可以原谅下，但是要是下次，多次被更改，我感觉客户不会在爱了…由于我在该公司是做PHP开发，所以没能真正的应急处理。我接下来做到事就是 找原因对症下药治好它，也就是我PHP开发人员该干的）

0×01 黑客的攻击方法分析

黑客既然已经来了，我们就要分析那段js代码是如何绕过我们公司的xss过滤的（以便做好相应的修复方法），我如果不说那黑客是怎么绕过XSS过滤的，你们肯定觉的我这文章写的没意思，扯淡的。我就大概说下那黑客是怎么绕过的，html的img标签的属性比如src属性没错我想你应该猜到了，那位黑客是绕过了这个属性内的双引号控制，进而增加个onerror属性，导致XSS，其实公司这块是有过滤的，由于还有其他部分的过滤替换（关键就是这个替换太扯淡了，更扯淡的是过滤方法 都是写在js端里- -（写在服务端会死啊），黑阔都可以看见我们的过滤方法，进行白盒审计下就可以发现替换处有漏洞），原因找到了，那么我们就可以进行修复了。。。

0×02 总结

1. 运维部门没有良好的日志查看习惯，导致被黑客攻击了暂时不知道。
2. 恶意代码过滤方法写在服务端的话，黑客就不知道其过滤方法，只能慢慢测试，测试过程中会留有日志，这样查看日志还是有效果的。
3. 恶意代码快速从数据库里删除

目前只是这些，如果不足，欢迎大家补充。。。